[要約] RFC 5179は、Kerberos V GSSメカニズムのためのGSS-APIドメインベースのサービス名マッピングに関するものです。このRFCの目的は、Kerberos V GSSメカニズムを使用する際に、ドメインベースのサービス名をマッピングするための一貫性と互換性を提供することです。
Network Working Group N. Williams
Request for Comments: 5179 Sun
Category: Standards Track May 2008
Generic Security Service Application Program Interface (GSS-API) Domain-Based Service Names Mapping for the Kerberos V GSS Mechanism
ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(GSS-API)ドメインベースのサービス名Kerberos v GSSメカニズムのマッピング
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Abstract
概要
This document describes the mapping of Generic Security Service Application Program Interface (GSS-API) domain-name-based service principal names onto Kerberos V principal names.
このドキュメントでは、ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(GSS-API)ドメインネームベースのサービスプリンシパルネームのマッピングについて、Kerberos Vのプリンシパル名について説明します。
Table of Contents
目次
1. Domain-Based Names for the Kerberos V GSS-API Mechanism . . . . 2
2. Conventions Used in This Document . . . . . . . . . . . . . . . 2
3. Internationalization Considerations . . . . . . . . . . . . . . 2
4. Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
5. Security Considerations . . . . . . . . . . . . . . . . . . . . 3
6. Normative References . . . . . . . . . . . . . . . . . . . . . 3
In accordance with [RFC5178], this document provides the mechanism-specific details needed to implement GSS-API [RFC2743] domain-based service names with the Kerberos V GSS-API mechanism [RFC4121].
[RFC5178]に従って、このドキュメントは、Kerberos v GSS-APIメカニズム[RFC4121]を使用して、GSS-API [RFC2743]ドメインベースのサービス名を実装するために必要なメカニズム固有の詳細を提供します。
GSS_C_NT_DOMAINBASED_SERVICE name SHOULD be mapped to Kerberos V principal names as follows:
gss_c_nt_domainbased_service名は、次のようにkerberos vプリンシパル名にマッピングする必要があります。
o the <service> name becomes the first (0th) component of the Kerberos V principal name;
o <Service>名前は、Kerberos Vの主名の最初の(0番目の)コンポーネントになります。
o the <hostname> becomes the second component of the Kerberos V principal name;
o <hostname>は、Kerberos Vの主名の2番目のコンポーネントになります。
o the <domain> name becomes the third component of the Kerberos V principal name;
o <domain>名前は、Kerberos Vの主名の3番目のコンポーネントになります。
o the realm of the resulting principal name is that which corresponds to the domain name, treated as a hostname.
o 結果の主要名の領域は、ホスト名として扱われたドメイン名に対応するものです。
The same name canonicalization considerations and methods as used elsewhere in the Kerberos V GSS-API mechanism [RFC4121] and Kerberos V [RFC4120] in general apply here.
Kerberos v GSS-APIメカニズム[RFC4121]およびKerberos V [RFC4120]の他の場所で使用されているのと同じ名前の標準化の考慮事項と方法は、一般的にここに適用されます。
Implementations SHOULD use a Kerberos V name-type of NTT-SRVT-HST-DOMAIN (which has the value 12) but MAY use NT-UNKNOWN instead.
実装では、NTT-SRVT-HST-DOMAIN(値12を持つ)のKerberos v Name-Typeを使用する必要がありますが、代わりにNT-Unknownを使用する場合があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
「必須」、「そうしない」、「必須」、「shall」、「shall "、" ingle "、" should "、" not "、" becommended "、" bay "、および「optional」は、[RFC2119]に記載されているように解釈される。
It is unclear, at this time, how best to address internationalization of Kerberos V domain-based principal names. This is because the Kerberos V core protocol internationalization project is incomplete.
現時点では、Kerberos v Domainベースのプリンシパル名の国際化にどのように対処するかは不明です。これは、Kerberos v Core Protocol Internationalizationプロジェクトが不完全であるためです。
However, clearly the best way to interoperate when using Kerberos V domain-based principal names is to use ACE-encoded internationalized domain names [RFC3490] for the hostname and domain name slots of a Kerberos V domain-based principal name. Therefore Kerberos V GSS-API mechanism implementations MUST do just that.
ただし、Kerberos vドメインベースのプリンシパル名を使用する際に相互運用する最良の方法は、Kerberos Vドメインベースのプリンシパル名のホスト名とドメイン名スロットにACEにエンコードされた国際化ドメイン名[RFC3490]を使用することです。したがって、Kerberos v GSS-APIメカニズムの実装はまさにそれを行う必要があります。
o The domain-based name, of generic form, "ldap@foo.example@ds1.foo.example" may map to a Kerberos V principal name like: "ldap/ds1.foo.example/ foo.example@FOO.EXAMPLE"
o 一般的な形式のドメインベースの名前、 "ldap@foo.example@ds1.foo.example"は、kerberos vの主要な名前にマッピングできます。
o The domain-based name, of generic form, "kadmin@foo.example@kdc1.foo.example" may map to a Kerberos V principal name like: "kadmin/kdc1.foo.example/ foo.example@FOO.EXAMPLE"
o 一般的な形式のドメインベースの名前、「kadmin@foo.example@kdc1.foo.example」は、kerberos vの主な名前にマッピングできます。
See [RFC5178].
[RFC5178]を参照してください。
It is important for the security of protocols using the Kerberos V GSS-API mechanism and domain-based names, that the realm of domain-based principal names be derived from the hostname, rather than the domain name slots of the input domain-based name string.
Kerberos v GSS-APIメカニズムとドメインベースの名前を使用したプロトコルのセキュリティにとって、ドメインベースのプリンシパル名の領域は、入力ドメインベースの名前のドメイン名スロットではなく、ホスト名から導出されることが重要です。弦。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2743] Linn, J., "Generic Security Service Application Program Interface Version 2, Update 1", RFC 2743, January 2000.
[RFC2743] Linn、J。、「Generic Security Service Application Program Interfaceバージョン2、Update 1」、RFC 2743、2000年1月。
[RFC3490] Faltstrom, P., Hoffman, P., and A. Costello, "Internationalizing Domain Names in Applications (IDNA)", RFC 3490, March 2003.
[RFC3490] Faltstrom、P.、Hoffman、P。、およびA. Costello、「アプリケーションの国際化ドメイン名(IDNA)」、RFC 3490、2003年3月。
[RFC4120] Neuman, C., Yu, T., Hartman, S., and K. Raeburn, "The Kerberos Network Authentication Service (V5)", RFC 4120, July 2005.
[RFC4120] Neuman、C.、Yu、T.、Hartman、S。、およびK. Raeburn、「The Kerberos Network認証サービス(V5)」、RFC 4120、2005年7月。
[RFC4121] Zhu, L., Jaganathan, K., and S. Hartman, "The Kerberos Version 5 Generic Security Service Application Program Interface (GSS-API) Mechanism: Version 2", RFC 4121, July 2005.
[RFC4121] Zhu、L.、Jaganathan、K。、およびS. Hartman、「Kerberosバージョン5ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(GSS-API)メカニズム:バージョン2 "、RFC 4121、2005年7月。
[RFC5178] Williams, N. and A. Melnikov, "Generic Security Service Application Program Interface (GSS-API) Internationalization and Domain-Based Service Names and Name Type", RFC 5178, May 2008.
[RFC5178]ウィリアムズ、N。およびA.メルニコフ、「ジェネリックセキュリティサービスアプリケーションプログラムインターフェイス(GSS-API)国際化とドメインベースのサービス名と名前タイプ」、RFC 5178、2008年5月。
Author's Address
著者の連絡先
Nicolas Williams Sun Microsystems 5300 Riata Trace Ct. Austin, TX 78727 US
ニコラス・ウィリアムズサンマイクロシステムズ5300リアタトレースCT。テキサス州オースティン78727 US
EMail: Nicolas.Williams@sun.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2008).
著作権(c)The IETF Trust(2008)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。